蓝盟IT外包。黑客没有密码就偷刷子

发布者:上海IT外包来源:http://www.lanmon.net点击数:773


在一个模型中模拟了商家的机器、用户卡和银行的实际情况,研究人员发现了两个主要漏洞。 首先,如果他们开发了安卓应用概念验证(POC  )脆弱性并将其用于非接触支付,则攻击者可以在不使用PIN码的情况下进行攻击。

得到该攻击的理由是,卡所有者的认证方法中认证和加密技术不足,攻击者可以根据需要变更设定。 例如,研究人员可以成功进行这样的交易,价值190美元,可以用自己的卡在实际的店铺进行现场测试。


第二个脆弱性是攻击者让业者认为现场的脱机非接触交易成功,发现攻击者离开后交易被拒绝。 在他们的报告PDF中,研究人员解释如下
在使用Visa或旧主卡的离线非接触交易中,此卡不在终端上应用密码(AC  ),因此犯罪者可以欺骗终端接受未经认证的离线交易。 随后,如果收据作为清算记录的一部分提交交易数据,发卡人会检测出错误的密码,但犯罪者已经得到了。
如上所述,直接全局地更新终端系统,而不是EMV协议本身,由此能够修复这两个脆弱性。 但是,考虑到这样的终端大约有1亿6100万个,其中大多数是在技术落后的国家,为了让犯罪者不使用这样的漏洞可能需要很多时间。
IT外包
>
400-635-8089
立即
咨询
电话咨询
服务热线
400-635-8089
微信咨询
微信咨询
微信咨询
公众号
公众号
公众号
返回顶部